Förutsättningar för Microsoft Entra Cloud Sync

Den här artikeln innehåller vägledning om hur du använder Microsoft Entra Cloud Sync som identitetslösning.

Krav för molnetableringsagent

Du behöver följande för att använda Microsoft Entra Cloud Sync:

• Autentiseringsuppgifter för domänadministratör eller företagsadministratör för att skapa Microsoft Entra Connect Cloud Sync gMSA (grupphanterat tjänstkonto) för att köra agenttjänsten.
• Ett Hybrididentitetsadministratörskonto för din Microsoft Entra-klient som inte är en gästanvändare.
• En lokal server för etableringsagenten med Windows 2016 eller senare. Den här servern ska vara en nivå 0-server baserat på Active Directory-administratörsnivåmodell. Det finns stöd för att installera agenten på en domänkontrollant. Mer information finns i Skydda din Microsoft Entra-etableringsagentserver
  • Krävs för AD-schemaattribut – msDS-ExternalDirectoryObjectId
• Hög tillgänglighet avser Microsoft Entra Cloud Syncs möjlighet att arbeta kontinuerligt utan fel under en längre tid. Genom att ha flera aktiva agenter installerade och igång kan Microsoft Entra Cloud Sync fortsätta att fungera även om en agent skulle misslyckas. Microsoft rekommenderar att du har tre aktiva agenter installerade för hög tillgänglighet.
• Lokala brandväggskonfigurationer.

Hårdgör Microsoft Entra-tilldelningsagentservern

Vi rekommenderar att du hårdnar din Microsoft Entra-etableringsagentserver för att minska säkerhetsangreppsytan för den här kritiska komponenten i DIN IT-miljö. Genom att följa dessa rekommendationer kan du minska vissa säkerhetsrisker för din organisation.

• Vi rekommenderar att du härdar Microsoft Entra-etableringsagentservern som en kontrollplanstillgång (tidigare nivå 0) genom att följa riktlinjerna i secure privileged access och Active Directory administrationsnivåmodell.
• Begränsa administrativ åtkomst till Microsoft Entra-etableringsagentservern till endast domänadministratörer eller andra strikt kontrollerade säkerhetsgrupper.
• Skapa ett dedikerat konto för all personal med privilegierad åtkomst. Administratörer bör inte surfa på webben, kontrollera sin e-post och utföra dagliga produktivitetsuppgifter med mycket privilegierade konton.
• Följ anvisningarna i Skydda privilegierad åtkomst.
• Neka användning av NTLM-autentisering med Microsoft Entra-etableringsagentservern. Här följer några sätt att göra detta: Begränsa NTLM på Microsoft Entra-etableringsagenten Server och begränsa NTLM på en domän
• Se till att varje dator har ett unikt lokalt administratörslösenord. Mer information finns i Windows LAPS (Local Administrator Password Solution) kan konfigurera unika slumpmässiga lösenord på varje arbetsstation och server lagra dem i Active Directory som skyddas av en ACL. Endast behöriga behöriga användare kan läsa eller begära återställning av dessa lösenord för det lokala administratörskontot. Ytterligare vägledning för att använda en miljö med Windows LAPS och privilegierade arbetsstationer (PAW) finns i Driftstandarder baserat på principen för ren källkod.
• Implementera dedikerade privilegierade arbetsstationer för åtkomst för all personal med privilegierad åtkomst till organisationens informationssystem.
• Följ dessa ytterligare riktlinjer för att minska attackyta i din Active Directory-miljö.
• Följ Övervaka ändringar i federationskonfiguration så att du kan konfigurera aviseringar och övervaka ändringar i det förtroende som har upprättats mellan din Idp och Microsoft Entra ID.
• Aktivera multifaktorautentisering (MFA) för alla användare som har privilegierad åtkomst i Microsoft Entra-ID eller i AD. Ett säkerhetsproblem med att använda Microsoft Entra-etableringsagenten är att om en angripare kan få kontroll över Microsoft Entra-etableringsagentservern kan de manipulera användare i Microsoft Entra-ID. För att förhindra att en angripare använder dessa funktioner för att ta över Microsoft Entra-konton erbjuder MFA skydd. Även om en angripare till exempel lyckas återställa en användares lösenord med hjälp av Microsoft Entra-etableringsagenten kan de fortfarande inte kringgå den andra faktorn.

Grupphanterade tjänstkonton

Ett grupphanterat tjänstkonto är ett hanterat domänkonto som tillhandahåller automatisk lösenordshantering och förenklad HANTERING av tjänstens huvudnamn (SPN). Det ger också möjlighet att delegera hanteringen till andra administratörer och utökar den här funktionen över flera servrar. Microsoft Entra Cloud Sync stöder och använder en gMSA för att köra agenten. Du uppmanas att ange administrativa autentiseringsuppgifter under installationen för att kunna skapa det här kontot. Kontot visas som domain\provAgentgMSA$. Mer information om en gMSA finns i hanterade tjänstkonton för grupper.

Krav för gMSA

1. Active Directory-schemat i gMSA-domänens skog måste uppdateras till Windows Server 2012 eller senare.
2. PowerShell RSAT-moduler på en domänkontrollant.
3. Minst en domänkontrollant i domänen måste köra Windows Server 2012 eller senare.
4. En domänansluten server där agenten installeras måste vara antingen Windows Server 2016 eller senare.

Anpassat gMSA-konto

Om du skapar ett anpassat gMSA-konto måste du se till att kontot har följande behörigheter.

Typ	Namn	Tillträde	Gäller för
Tillåta	gMSA-konto	Läs alla egenskaper	Underordnade enhetsobjekt
Tillåta	gMSA-konto	Läs alla egenskaper	Underordnade InetOrgPerson-objekt
Tillåta	gMSA-konto	Läs alla egenskaper	Underordnade datorobjekt
Tillåta	gMSA-konto	Läs alla egenskaper	Underordnade foreignSecurityPrincipal-objekt
Tillåta	gMSA-konto	Fullständig kontroll	Underordnade gruppobjekt
Tillåta	gMSA-konto	Läs alla egenskaper	Underordnade användarobjekt
Tillåta	gMSA-konto	Läs alla egenskaper	Underordnade kontaktobjekt
Tillåta	gMSA-konto	Skapa/ta bort användarobjekt	Det här objektet och alla underordnade objekt

Anvisningar om hur du uppgraderar en befintlig agent för att använda ett gMSA-konto finns i grupphanterade tjänstkonton.

Mer information om hur du förbereder din Active Directory för grupphanterat tjänstkonto finns i grupphanterade tjänstkonton Översikt och Grupphanterade tjänstkonton med molnsynkronisering.

I administrationscentret för Microsoft Entra

1. Skapa ett molnbaserat hybrididentitetsadministratörskonto i din Microsoft Entra-klientorganisation. På så sätt kan du hantera konfigurationen av din kund om dina lokala tjänster skulle misslyckas eller bli otillgängliga. Lär dig mer om hur du lägger till ett molnbaserat hybrididentitetsadministratörskonto. Att slutföra det här steget är avgörande för att säkerställa att du inte blir utelåst från din hyresgäst.
2. Lägg till ett eller flera anpassade domännamn till din Microsoft Entra-klient. Användarna kan logga in med något av dessa domännamn.

I din katalog i Active Directory

Kör verktyget IdFix för att förbereda katalogattributen för synkronisering.

I din lokala miljö

1. Identifiera en domänansluten värdserver som kör Windows Server 2016 eller senare med minst 4 GB RAM-minne och .NET 4.7.1+-körning.
2. PowerShell-körningsprincipen på den lokala servern måste vara inställd på Odefinierad eller RemoteSigned.
3. Om det finns en brandvägg mellan dina servrar och Microsoft Entra ID, se Krav för brandvägg och proxy.

Not

Installation av molnetableringsagenten på Windows Server Core stöds inte.

Tillhandahåll Microsoft Entra ID till Active Directory - Förutsättningar

Följande krav måste uppfyllas för att implementera provisioneringsgrupper i Active Directory.

Licenskrav

För att använda den här funktionen krävs Microsoft Entra ID P1-licenser. Information om hur du hittar rätt licens för dina krav finns i Jämför allmänt tillgängliga funktioner i Microsoft Entra ID.

Allmänna krav

• Microsoft Entra-konto med minst en hybrididentitetsadministratör roll.
• Lokal Active Directory Domain Services-miljö med Windows Server 2016-operativsystem eller senare.
  • Krävs för AD-schemaattribut – msDS-ExternalDirectoryObjectId
• Provisioneringsagent med byggversion 1.1.1370.0 eller senare.

Not

Behörigheterna till tjänstkontot tilldelas endast vid ren installation. Om du uppgraderar från den tidigare versionen måste behörigheter tilldelas manuellt med PowerShell-cmdlet:

$credential = Get-Credential  

  Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

Om behörigheterna anges manuellt måste du se till att läs-, skriv-, skapa- och ta bort alla egenskaper för alla underordnade grupper och användarobjekt.

Dessa behörigheter tillämpas inte på AdminSDHolder-objekt som standard Microsoft Entra-etableringsagenten gMSA PowerShell-cmdletar

• Etableringsagenten måste kunna kommunicera med en eller flera domänkontrollanter på portarna TCP/389 (LDAP) och TCP/3268 (global katalog).
  • Krävs för global katalogsökning för att filtrera bort ogiltiga medlemskapsreferenser
• Microsoft Entra Connect Sync med byggversion 2.2.8.0 eller senare
  • Krävs för att stödja lokalt användarmedlemskap som synkroniserats med Microsoft Entra Connect Sync
  • Krävs för att synkronisera AD:user:objectGUID till AAD:user:onPremisesObjectIdentifier

Grupper som stöds och skalningsgränser

Följande stöds:

• Endast moln som skapats säkerhetsgrupper stöds
• Dessa grupper kan ha tilldelade eller dynamiska medlemskapsgrupper.
• Dessa grupper kan bara innehålla lokala synkroniserade användare och/eller ytterligare molnskapade säkerhetsgrupper.
• De lokala användarkonton som synkroniseras och är medlemmar i den här molnskapade säkerhetsgruppen kan komma från samma domän eller korsdomän, men alla måste komma från samma skog.
• Dessa grupper skrivs tillbaka med OMfånget AD-grupper för universella. Din lokala miljö måste ha stöd för det universella gruppomfånget.
• Grupper som är större än 50 000 medlemmar stöds inte.
• Klienter som har fler än 150 000 objekt stöds inte. Om en klientorganisation har någon kombination av användare och grupper som överskrider 150 000 objekt stöds inte klientorganisationen.
• Varje direkt undergrupp räknas som en medlem i referensgruppen
• Avstämning av grupper mellan Microsoft Entra-ID och Active Directory stöds inte om gruppen uppdateras manuellt i Active Directory.

Ytterligare information

Följande är ytterligare information om tilldelningsgrupper för Active Directory.

• Grupper som har etablerats till AD med hjälp av molnsynkronisering kan bara innehålla lokala synkroniserade användare och/eller ytterligare molnskapade säkerhetsgrupper.
• Dessa användare måste ha attributet onPremisesObjectIdentifier inställt på sitt konto.
• OnPremisesObjectIdentifier måste matcha en motsvarande objectGUID i AD-målmiljön.
• ObjektGUID-attributet för en lokal användare kan synkroniseras med en molnanvändares onPremisesObjectIdentifier-attribut, antingen med Microsoft Entra Cloud Sync (1.1.1370.0) eller Microsoft Entra Connect Sync (2.2.8.0).
• Om du använder Microsoft Entra Connect Sync (2.2.8.0) för att synkronisera användare, i stället för Microsoft Entra Cloud Sync och vill använda Etablering till AD, måste det vara 2.2.8.0 eller senare.
• Endast vanliga Microsoft Entra ID-klienter stöds för försörjning från Microsoft Entra ID till Active Directory. Hyresgäster som B2C stöds inte.
• Gruppetableringsjobbet är schemalagt att ske var 20:e minut.

Fler krav

• Minimikrav Microsoft .NET Framework 4.7.1

TLS-krav

Not

Transport Layer Security (TLS) är ett protokoll som tillhandahåller säker kommunikation. Om du ändrar TLS-inställningarna påverkas hela skogen. Mer information finns i Update för att aktivera TLS 1.1 och TLS 1.2 som standardsäkerhetsprotokoll i WinHTTP i Windows.

Den Windows-server som är värd för Microsoft Entra Connect-molnetableringsagenten måste ha TLS 1.2 aktiverat innan du installerar det.

Följ dessa steg för att aktivera TLS 1.2.

1. Ange följande registernycklar genom att kopiera innehållet till en .reg fil och sedan köra filen (välj och välj Sammanfoga):

   Windows Registry Editor Version 5.00
   
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
   "DisabledByDefault"=dword:00000000
   "Enabled"=dword:00000001
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
   "DisabledByDefault"=dword:00000000
   "Enabled"=dword:00000001
   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
   "SchUseStrongCrypto"=dword:00000001
   

2. Starta om servern.

Brandväggs- och proxykrav

Om det finns en brandvägg mellan dina servrar och Microsoft Entra-ID konfigurerar du följande:

• Kontrollera att agenter kan göra utgående begäranden till Microsoft Entra-ID via följande portar:

  Portnummer	Beskrivning
  80	Laddar ned listan över återkallade certifikat (CRL: er) när TLS/SSL-certifikatet verifieras.
  443	Hanterar all utgående kommunikation med tjänsten.
  8080 (valfritt)	Agenter rapporterar sin status var 10:e minut via port 8080, om port 443 inte är tillgänglig. Den här statusen visas i administrationscentret för Microsoft Entra.

• Om brandväggen tillämpar regler enligt de ursprungliga användarna öppnar du dessa portar för trafik från Windows-tjänster som körs som en nätverkstjänst.

• Se till att proxyn stöder minst HTTP 1.1-protokoll och att segmenterad kodning är aktiverad.

• Om brandväggen eller proxyn tillåter att du anger säkra suffix lägger du till anslutningar:

offentliga moln

URL	Beskrivning
*.msappproxy.net *.servicebus.windows.net	Agenten använder dessa URL:er för att kommunicera med Microsoft Entra-molntjänsten.
*.microsoftonline.com *.microsoft.com *.msappproxy.com *.windowsazure.com	Agenten använder dessa URL:er för att kommunicera med Microsoft Entra-molntjänsten.
mscrl.microsoft.com:80 crl.microsoft.com:80 ocsp.msocsp.com:80 www.microsoft.com:80	Agenten använder dessa URL:er för att verifiera certifikat.
login.windows.net	Agenten använder dessa URL:er under registreringsprocessen.

USA:s regeringsmoln

URL	Beskrivning
*.msappproxy.us *.servicebus.usgovcloudapi.net	Agenten använder dessa URL:er för att kommunicera med Microsoft Entra-molntjänsten.
mscrl.microsoft.us:80 crl.microsoft.us:80 ocsp.msocsp.us:80 www.microsoft.us:80	Agenten använder dessa URL:er för att verifiera certifikat.
login.windows.us secure.aadcdn.microsoftonline-p.com *.microsoftonline.us *.microsoftonline-p.us *.msauth.net *.msauthimages.net *.msecnd.net *.msftauth.net *.msftauthimages.net *.phonefactor.net enterpriseregistration.windows.net management.azure.com policykeyservice.dc.ad.msft.net ctldl.windowsupdate.us:80 aadcdn.msftauthimages.us *.microsoft.us msauthimages.us mfstauthimages.us	Agenten använder dessa URL:er under registreringsprocessen.

• Om du inte kan lägga till anslutningar tillåter du åtkomst till ip-intervallen för Azure-datacenter, som uppdateras varje vecka.

NTLM-krav

Du bör inte aktivera NTLM på Den Windows Server som kör Microsoft Entra-etableringsagenten och om den är aktiverad bör du se till att du inaktiverar den.

Kända begränsningar

Följande är kända begränsningar:

Deltasynkronisering

• Gruppomfattningsfiltrering för deltasynkronisering stöder inte fler än 50 000 medlemmar.
• När du tar bort en grupp som används som en del av ett gruppomfångsfilter tas inte användare som är medlemmar i gruppen bort.
• När du byter namn på organisationsenheten eller gruppen som omfattas, tar deltasynk inte bort användarna.

Tilldelningsloggar

• Försörjningsloggar skiljer inte tydligt mellan skapande och uppdateringsåtgärder. Du kan se en skapa-åtgärd för en uppdatering och en uppdateringsåtgärd för en skapa.

Gruppnamnbyte eller organisationsenhetsnamnbyte

• Om du byter namn på en grupp eller organisationsenhet i AD som finns i omfånget för en viss konfiguration kan molnsynkroniseringsjobbet inte identifiera namnändringen i AD. Jobbet sätts inte i karantän och förblir oskadat.

Omfångsfilter

När du använder OU-omfångsfilter

• Omfångskonfigurationen har en begränsning på 4 MB i teckenlängd. I en standardtestad miljö översätts detta till cirka 50 separata organisationsenheter eller säkerhetsgrupper, inklusive nödvändiga metadata, för en viss konfiguration.

• Kapslade organisationsenheter stöds (d.v.s. du kan synkronisera en organisationsenhet som har 130 kapslade organisationsenheter, men du inte kan synkronisera 60 separata organisationsenheter i samma konfiguration).

Lösenordshashsynkronisering

• Användning av synkronisering av lösenordshash med InetOrgPerson stöds inte.

Nästa steg

• Vad är tilldelning?
• Vad är Microsoft Entra Cloud Sync?